El abuso de software de confianza es una táctica en la que los atacantes usan programas que parecen legítimos, firmados o de otro modo confiables para hacer que la actividad maliciosa parezca normal. El software puede ser real, robado, redistribuido o ir acompañado de un cargador malicioso, pero la idea clave es que los defensores y los usuarios ven un nombre, un proveedor o una firma familiares y bajan la guardia.
Esto importa porque las señales de confianza pueden ocultar un comportamiento dañino. Una firma de código válida prueba el origen y la integridad, no una intención benigna. En ataques reales, el abuso de software de confianza puede aparecer como un instalador firmado que deja caer cargas adicionales, una herramienta benigna que lanza un troyano o una aplicación de prestigio que se usa como canal de entrega para phishing o movimiento lateral. Los defensores deben inspeccionar las cadenas de ejecución, el comportamiento de los procesos padre e hijo, la actividad de red y los archivos complementarios inesperados, en lugar de confiar solo en la reputación. El control de aplicaciones, la telemetría del endpoint y la verificación escalonada ayudan a exponer el abuso cuando el software “confiable” empieza a comportarse de maneras no confiables.